作者：Cofense 网络钓鱼防御中心 Dylan Main

在不断变化的威胁环境中，利用人工智能和自动化不仅可以检测还可以阻止恶意活动，看似初级的攻击如何变得有效？通过了解这些工具的工作原理并使用社会工程，威胁参与者 (TA) 可以绕过自动化并轻松访问公司基础设施。

Cofense 网络钓鱼防御中心 (PDC) 已通过从企业邮箱攻击中嵌入的链接中删除 URL 协议 (http/https) 来识别绕过安全企业邮箱网关 (SEG) 保护环境的凭证网络钓鱼活动。虽然这种策略看起来很基本，但它的简单性可能是 TA 发起活动的有效方法，而不必担心被安全供应商或自动化工具抓住，这些供应商的工具只寻找标准浏览器协议格式。

图 1：企业邮箱正文

图 1 中显示的企业邮箱正文似乎是对早期企业邮箱的响应，其中发件人（在本例中为威胁行为者）已与收件人共享一份文档并需要该文档 – 这将访问他的假 SharePoint 来检查该文档。使用 SharePoint URL 是一种经常用于向企业邮箱添加有效性的方法，希望收件人更有可能与链接进行交互，因为它是一个广泛使用的文档平台。助教没有使用标准的超链接或按钮，而是以纯文本形式添加了 URL，要求用户将其复制并粘贴到浏览器中才能访问。

图 2：验证码

将 URL 复制到浏览器时，收件人将被重定向到虚假的验证码页面。由于验证码检查在访问许多网站时很常见，因此 TA 倾向于将其用作一种社会工程技术，作为另一种形式的合法性来规避人类响应和自动化解决方案。

图 3：网络钓鱼页面

一旦用户“验证”他们是人类，他们就会被发送到一个看起来像 Microsoft Outlook 登录页面的页面，而实际上这是 TA 创建的模仿，看起来像真实的网站。这是另一个方面，这次用于诱骗员工输入他们的 Outlook 凭据，这可能允许不良行为者访问公司基础设施和数据。 Microsoft 是全球领先的商业企业邮箱提供商之一，一直是此类凭据网络钓鱼活动的目标。

尽管这种方法表面上并不像复杂的攻击，但它是威胁行为者为适应新的防御策略而使用的另一种方法的示例。凭借对目标的了解和对新方法的了解，这些活动可以逃避安全工具和自动化解决方案，证明最好的防御方法是人工验证设备和实际分析的结合。 Cofense 的托管网络钓鱼威胁检测和响应 (MPDR) 解决方案可以提供这两个要素，以防止此类攻击窃取员工凭证，并防止不必要的泄露或对公司基础设施的损害。请立即联系我们，了解有关 MPDR 平台的更多信息。

Cofense 引用的所有第三方商标，无论是徽标、名称、产品形式还是其他形式，均属于其各自所有者的财产，并且使用此类标记绝不表明 Cofense 与品牌所有者之间存在任何关系。本博客中有关绕过端点保护的所有观察结果均基于单个时间点和一组特定系统配置的观察结果。后续更新或不同的配置可能会有效阻止这些或类似的威胁。过去的表现并不能保证未来的结果。

Cofense® 和 PhishMe® 名称和徽标，以及本博客上显示的任何其他 Cofense 产品或服务名称或徽标，都是 Cofense Inc. 的注册商标或商标。